ITを活用したDX推進のご検討、経験豊富な講師による中国語レッスンのご要望は当社まで!
妹尾資訊管理顧問有限公司
(Senoo IT Consulting Corp.)
統一編號: 89125257
02-7724-8337

ChatGPT利用における機密情報保護について

みなさんこんにちは!Senoo IT Consultingの妹尾です。前回に引き続き、今回もChatGPT関連のお話です。

はじめに

ChatGPTのユースケースとして、「文書の翻訳」「文書の要約」「プログラムのチェック」「要件やアルゴリズムからのプログラム生成」といったものがあります。

これらは、いずれも自分が保有している文書(=情報)をChatGPTに投入し、それを元に何か処理を行わせようというものです。では、この投入した情報はどのように取り扱われるのか、皆さんはご存知でしょうか?

OpenAIの利用規約の第3条:コンテンツの該当箇所の参考日本語訳を記載します。

(c) サービス改善のためのコンテンツの利用
我々は、あなたがAPIから提供または受け取るコンテンツ(「APIコンテンツ」)を、我々のサービスの開発や改善には使用しません。我々は、API以外のサービスからのコンテンツ(「非APIコンテンツ」)を使用して、我々のサービスを開発し、改善するために助けることがあります。非APIコンテンツがモデルのパフォーマンス向上にどのように利用されるかについては、こちらで詳しく読むことができます。あなたが非APIコンテンツがサービスの改善に使われるのを望まない場合は、このフォームに記入してオプトアウトすることができます。ただし、場合によっては、我々のサービスがあなたの特定の利用ケースにより適切に対応する能力が制限される可能性があることにご注意ください。

最終的には原文を確認いただきたいですが、ポイントは以下の3点です。

  • API経由で受け取ったユーザの入力データは、サービスの改善などに利用しない
  • ChatGPTのWeb画面にユーザが入力したデータは、サービスの改善などに利用することがある
  • 指定されたフォームに記入して提出することにより、Web画面で入力したデータをサービスの改善などに利用しないように要求できる。(オプトアウト)

つまり、何も対策を講じず、Web版のChatGPTに機密情報を入力した場合、それがサービスの改善(すなわちAIの学習など)に利用され、他者への回答に含まれてしまう可能性があるということです。

では企業が業務の中で安心して利用できるようにするためにはどうすれば良いでしょうか?今回は機密情報保護のために取るべき対策について紹介します。

機密情報保護対策

1. OpenAIに対してオプトアウトを要求する

上記の利用規約中に記載している通り、OpenAIが指定しているオプトアウト用フォームにアクセスし、ChatGPTアカウントのメールアドレス、Organization ID、Organization nameを入力して送信することにより、OpenAIに入力データをサービスの改善に利用しないように要求することができます。

OptOut Form
OpenAIへのオプトアウト提出フォーム

なお、Organization IDとOrganization nameはOpenAIのアカウント管理画面から確認することができます。

Organization Setting Screen
OpenAIアカウントのアカウント管理画面
2. ChatGPT(Web画面)で入出力データのサービス改善への利用を無効化する

実はChatGPTのWeb画面で、入出力データを今後のサービス改善へ利用しないように設定することができます。

通常の画面はこちらです。

ChatGPT Screen(normal setting)
Web版ChatGPT画面(通常設定)

この右下のアカウントメールアドレス横の「…」から「Settings」を選択して設定画面を表示し、「Data controls」の設定項目中の「Chat History & Training」をOFFに変更します。

ChatGPT Setting Dialog
ChatGPTの設定画面

すると下のように過去履歴が選択できないようになり、かつその後のチャット入力も履歴として残されなくなり、かつAIのトレーニングにも利用されなくなります。

ChatGPT Screen(no history & training setting)
Web版ChatGPT画面(履歴無効化設定)

ただし、「Enable chat history」というボタンを押下すれば、すぐに従来の履歴保存が有効な画面に復帰します。その際はそれまでに保存していたチャット履歴も参照することができます。

3. APIからChatGPTを利用する

以上のようにChatGPTのWeb画面を利用する場合でも、対策を施すことにより安全に利用することができます。

しかし、オプトアウトするためには全員のChatGPTアカウントを組織配下に引き込んでおく必要があるため、個人的にアカウントを作って利用している社員のコントロールはできないこと、Web画面での設定は利用者ひとりひとりに委ねられてしまうことから、会社の情報セキュリティとしての対策としては心許ないものです。

そこで、情報セキュリティの観点での対策としては、

  • Web画面へのアクセスはWebフィルターなどで禁止する
  • API経由でChatGPTを利用するシステム(またはツール)を導入する

という形を取るのが適当だと思います。

API経由でのアクセスであれば、入力したデータを再利用されないという点に加え、

  • 複数名が同一APIを通じてChatGPTを利用できる
  • (ウェイトリスト登録が必要なものの)API経由で最新のGPT-4を利用できる(無料Web版ChatGPTではGP T-3.5のみ利用可能で、GPT-4利用のためにはアカウント毎にUS$20/月が必要)
  • Web画面よりも利用許容量が大きく、大事なところで制限に掛かることが少ない(特に無料Web版と比較して)
  • 用途に特化した機能を構築できる(例えば、翻訳専用機能や、テキストからデータを抽出して自動処理を行う、など)

といったメリットがあります。

ただし、APIの利用は完全従量課金制であり、入力したテキストの長さと、ChatGPTが出力したテキストの長さによって課金されるため、ChatGPTの無料Web版のように無料での利用はできません。なお、テキストの長さは「token」という文字と単語の中間のような、ChatGPTが文章を分解して処理する単位の数としてカウントされ、その単価はこのページに記載されている通りとなります。

当社では、API経由でのChatGPTの利用を研究中です。gpt-3.5-turboというモデルでの出力のため内容がイマイチですが、参考までに秘密保持契約書の下書きを作成させた際の動画を載せておきます。最新のGPT-4が使えるようになれば、より精度の高い契約書の下書きが、直接繁体字中国語で作成することも可能になる予定です。

自作アプリからAPI経由でChatGPTを利用した例

最後に

いかがでしたでしょうか?

ITが専門ではない方からすると、どういった対策を行えば良いのかよく分からないし、面倒そうというのが正直なところではないでしょうか?

ただ、IT活用において情報セキュリティは避けて通れないことでもありますので、ChatGPTを活用する際には、どのようにして機密情報を保護していくかを必ず検討し、方針を決めて推進する必要があるという点にご注意ください。

お気軽にお問い合わせください、折り返し当社よりご連絡差し上げます。